Nieczytelny pendrive po usunięciu infekcji

[gelo244]

Witam,

Mam identyczny problem.

Najpierw było tak:

Nie mogłem otworzyć żadnego pendriva....Po włożeniu pendriva pojawiało się okienko ze "skrótem", a po kliknięciu na nie pokazywał się komunikat: "Wystąpił błąd podczas ładowania pliku 4#[coś tam].ini, nie można odnaleźć określonego modułu".

Kroki jakie podjąłem:

1. Przeskanowałem kompa AdwCleanerem, usunął trochę śmiecia.

2. Antywirus - Kaspersky - znalazł wirusa Trojan.Win32.Generic - usunąłem.

3. Przeskanowałem peny UsbFixem - log w załączeniu.

Po usunięciu wirusa na pendrive nie widać już "skrótu". Gorsza sprawa, że system nie widzi niektórych nośników. Widać pendrive (120) i kartę microSD (Karta), nie widać jeszcze jednej karty microSD, nie pojawia się też ona w "Mój komputer". Nawet jeżeli skopiuję coś na któryś z widocznych nośników, to nie mogę tego odczytać w innych urządzeniach.

Co można z tym zrobić? Z góry bardzo dziękuję za pomoc.

UsbFix Listing 3 PC-0DA369C13844.txt

[gelo244]

Przepraszam za kłopot, nie doczytałem reguł. Załączam logi z OTL i FRST. Pendrive ma zazwyczaj oznaczenie K: .

FRST.txt

Addition.txt

OTL.Txt

Extras.Txt

[picasso]

Śladów czynnej infekcji tu brak, ale są jej odpadki (puste wpisy w starcie) i drobne szczątki adware. Usuwanie:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [] - [x]
HKLM\...\Run: [Hq4RmJqLt] - C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\build.exe
HKCU\...\Run: [Hq4RmJqLt] - C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\build.exe
URLSearchHook: HKCU - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL No File
FF Plugin HKCU: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll No File
FF HKLM\...\Firefox\Extensions: [searchpredict@speedbit.com] - C:\Program Files\SearchPredict\PRFireFox
FF HKLM\...\Firefox\Extensions: [{0329E7D6-6F54-462D-93F6-F5C3118BADF2}] - C:\Program Files\SPEEDbit Video Downloader\SPFireFox
S2 acedrv11; \??\C:\WINDOWS\system32\drivers\acedrv11.sys [x]
S2 ADILOADER; System32\Drivers\adildr.sys [x]
S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [x]
S3 BDFsDrv; \??\C:\Program Files\Softwin\BitDefender10\bdfsdrv.sys [x]
S3 BDRsDrv; \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [x]
S3 Profos; \??\C:\Program Files\Softwin\BitDefender10\profos.sys [x]
S3 Trufos; \??\C:\Program Files\Softwin\BitDefender10\trufos.sys [x]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x]
C:\Program Files\FreeGamePick.com
C:\Documents and Settings\All Users\Dane aplikacji\C4E08C1433E3B55E0000C4DFC738B9AB
C:\Documents and Settings\All Users\Dane aplikacji\n7-89-o9-3r-4t-r9
C:\Documents and Settings\All Users\Dane aplikacji\Alawar Stargaze
C:\Documents and Settings\All Users\Dane aplikacji\AlawarWrapper
C:\Documents and Settings\All Users\Dane aplikacji\FileOpen
C:\Documents and Settings\All Users\Dane aplikacji\QuickClick
C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\Dane aplikacji\Trymedia
C:\Documents and Settings\PC\Dane aplikacji\ArcaBit
C:\Documents and Settings\PC\Dane aplikacji\ArcaVirMicroScan
C:\Documents and Settings\PC\Dane aplikacji\FileOpen
C:\Documents and Settings\PC\Dane aplikacji\Toolbar4
C:\Documents and Settings\PC\Dane aplikacji\Mozilla\Firefox\Profiles(2)\u5d8okiu.default
C:\Program Files\Mozilla Firefox\extensions(2)
C:\Program Files\Mozilla Firefox\updated\extensions(2)

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz log z usuwania AdwCleaner (jest w folderze C:\AdwCleaner, nie uruchamiaj narzędzia ponownie).

 

 

Gorsza sprawa, że system nie widzi niektórych nośników. Widać pendrive (120) i kartę microSD (Karta), nie widać jeszcze jednej karty microSD, nie pojawia się też ona w "Mój komputer". Nawet jeżeli skopiuję coś na któryś z widocznych nośników, to nie mogę tego odczytać w innych urządzeniach.

USBFix także nie widzi oczywiście urządzeń, skoro nie może rozpoznać ich system. Spróbuj tego:

 

• Start > Uruchom > devmgmt.msc, z menu Widok włącz pokazywanie ukrytych urządzeń. Odinstaluj cały zestaw USB.
• Włącz pokazywanie ukrytych plików w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Uruchom wyszukiwarkę Windows (skonfiguruj, by przeszukiwała ukryte pliki) i wyszukaj infcache. Znalezione skasuj.
• Wyłącz komputer. Uruchom ponownie i sprawdź czy są jakieś skutki.

Do usuwania USB, zamiast devmgmt.msc, można użyć też programiku USBDeview.

 

Jeśli to odniesie pożądany skutek, zrób nowy log USBFix z opcji Listing przy podpiętych urządzeniach.

 

 

.

[gelo244]

Dziękuję za bardzo szybką odpowiedź. Zrobiłem z FRST tak jak pisałaś. Skrypt wykonał się bez problemu. Podczas pierwszego skanu po uruchomieniu skryptu działanie FRST zostało przerwane - standardowy komunikat Windows że wystąpiły problemy z aplikacją i zostanie ona zamknięta. Program wygenerował log, który nazwałem "FRST_przerwany.txt". Gdy uruchomiłem skan po raz drugi, zakończył się bez problemu, log w pliku "FRST.txt". Dołączam też plik z AdwCleanera.

Oczywiście zrobię tak jak pisałaś z tym devmgmt, ale mam jeszcze jedną wątpliwość - czy na nośnikach mógł zostać ten wirus? Czy włożenie nośnika do portu usb nie spowoduje kolejnej infekcji?

Fixlog.txt

FRST.txt

AdwCleanerS0.txt

[gelo244]

Przełamałem się i włożyłem nośniki do napędów System je zobaczył, bez żadnych "skrótów" w zawartości. Wydawało się, że nadal nie widzi kart microSD, ale to była wina adaptera, gdy przełożyłem kartę do innego - jest ok. Wszystkie pendrive'y widoczne. Po przełożeniu karty microSD do tabletu zawartość jest odczytana bez problemu. Czyli tak jak powinno być. Załączam log z USBFixa, moim zdaniem temat do zamknięcia. Dzięki serdeczne. W sprawie donacji odezwę się na pw.

UsbFix Listing 7 PC.txt

[picasso]

FRST_przerwany.txt nie jest potrzebny. Usuwam z załączników.

 

 

Oczywiście zrobię tak jak pisałaś z tym devmgmt, ale mam jeszcze jedną wątpliwość - czy na nośnikach mógł zostać ten wirus? Czy włożenie nośnika do portu usb nie spowoduje kolejnej infekcji?

(...)

Wg opisu pierwotnego infekcji był to robak Gamarue. Podpięcie pendrive nie wykonuje tej infekcji automatycznie, infekcja bazuje na socjotechnice (ów skrót o nazwie urządzenia sugerujący użytkownikowi dostęp do danych, czyli namiawiający do kliknięcia).

 

Zadania wykonane, urządzenia sprawne, toteż kończymy:

 

1. Przez SHIFT+DEL skasuj FRST i foldery:

 

C:\FRST

C:\Program Files\Kaspersky Lab

C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, odinstaluj USBFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj wszystkie stare produkty Adobe i Java, zastąp najnowszymi, zaktualizuj pozostałe niżej wymienione: KLIK. Wg raportu są tu:

 

==================== Installed Programs ======================
 

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) (Version: 8.1.2 - Adobe Systems, Inc)

Adobe Flash Player 11 ActiveX (Version: 11.8.800.174 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (Version: 11.9.900.117 - Adobe Systems Incorporated) ----> wtyczka dla FF

Adobe Reader 8 - Polish (Version: 8.1.2 - Adobe Systems Incorporated)

Adobe Reader 8.1.2 Security Update 1 (KB403742) (Version: - )

Adobe Shockwave Player (Version: 11 - Adobe Systems, Inc.)

Java 7 Update 25 (Version: 7.0.250 - Oracle)

Java™ 6 Update 23 (Version: 6.0.230 - Sun Microsystems, Inc.)

Java™ 6 Update 5 (Version: 1.6.0.50 - Sun Microsystems, Inc.)

Java™ SE Runtime Environment 6 Update 1 (Version: 1.6.0.10 - Sun Microsystems, Inc.)

OpenOffice.ux.pl 2.2.0 (Version: 2.20.9134 - OpenOffice.org)

 

 

 

.